Notwendigkeit von Updates

Rubrik: Nachrichten
F. Fiesel - 2B Advice GmbH - the privacy benchmark

Neben dem „Faktor Mensch“ sind sicher konfigurierte Systeme die Grundvorrausetzung für eine datenschutzkonforme Nutzung von Daten und Diensten. Regelmäßige Updates sind deshalb notwendig, um keine Sicherheitslücken als Einfallstor in das Firmennetzwerk für potentielle Datendiebe zu schaffen.

Viele Sicherheitslücken tauchen jedoch als sogenannter „Zero-Day-Exploit“ auf. D.h., dass die neue Sicherheitslücke bereits bei Bekanntwerden durch Kriminelle ausgenutzt wurde und es zu Schäden gekommen ist. Für diese Sicherheitslücken gibt es bei Veröffentlichung in den meisten Fällen noch keine Sicherheitsupdates.

 

Um die Gefahr einer Kompromittierung eines IT-Systems durch einen „Zero-Day-Exploit“ zu verringern, sollte der betroffene Dienst bis zur Freigabe eines Sicherheitsupdates nur eingeschränkt im Unternehmen genutzt werden, bzw. wenn möglich abgeschaltet werden. Für zahlreiche Dienste und Programme stellen die Herstellerfirmen für die Zeit bis das Sicherheitsupdate veröffentlicht wird sogenannte „Workarounds“ bereit, damit der normale Geschäftsbetrieb ohne große Komplikationen fortgeführt werden kann.

 

Jüngst hat eine Sicherheitslücke in der C-Bibliothek „libc“ dafür gesorgt, dass der von vielen Firmen unter Linux/UNIX genutzte (S)FTP((Secure) File Transfer Protokoll) -Server von außerhalb zum Absturz gebracht werden kann, was die Verfügbarkeit von Daten dieser Firmen enorm einschränken würde. In diesem Beispiel hat nur einer der zahlreichen Hersteller bzw. Distributor dieses Dienstes einen Workaround angeboten, sodass nur ein Abschalten des Dienstes, die Gefahr eines Angriffs ausschließen kann.

 

Das firmeninterne Vorgehen bei einem auftretenden „Zero-Day Eploit“ sollte durch den „Incident Response Plan“ abgedeckt werden, damit die betroffenen Abteilungen wie die IT unmittelbar reagieren kann. Zusätzlich sollten regelmäßige Updates, welche im Vorfeld auf Testsystemen installiert werden sollten, um Probleme im Produktivbetrieb zu vermeiden, mit einem maximalen Intervall von 30 Tagen (je kürzer, je besser) in der „IT-Sicherheitsrichtlinie“ festgelegt werden.

 

100%ige Sicherheit von IT-Systemen ist niemals erreichbar. Allerdings lassen sich die Risiken für Firmen durch regelmäßige Updates und ein klar definiertes „Incident Management“ auf ein vertretbares Maß reduzieren.

(1098 mal gelesen)